Seguridad de clientes Windows XP independientes
En esta página
Descripción del módulo
Administrar equipos Microsoft® Windows® XP Professional que no forman parte de un dominio basado en un servicio de directorio de Microsoft Active Directory® presenta grandes desafíos. En este módulo se analiza cómo aplicar y administrar de forma más eficaz la configuración recomendada en los módulos anteriores de esta guía. Los parámetros de configuración recomendados garantizarán la seguridad de los clientes de equipos portátiles y de escritorio de su organización que ejecuten Windows XP Professional. La directiva se aplica a todos los usuarios que inicien sesión en el cliente, incluido el administrador local. No se proporciona información sobre todas las configuraciones disponibles en Windows XP. Sin embargo, la configuración recomendada ofrecerá un entorno operativo seguro frente a la mayoría de las amenazas actuales, al tiempo que permitirá a los usuarios continuar utilizando sus equipos con normalidad. La configuración que se aplique tomando como referencia estas pautas debería basarse en los objetivos de seguridad de su organización.
Para aquellas organizaciones que tengan equipos que no puedan unirse a un dominio Active Directory, en este módulo se explica cómo implementar con mayor eficacia las contramedidas recomendadas en los módulos anteriores.
Objetivos
Utilice este módulo para:
| • | Configurar clientes Windows XP para permitir la comunicación con controladores de dominio de Microsoft Windows NT® 4.0. |
| • | Configurar parámetros individuales en la directiva de grupo local. |
| • | Importar y aplicar plantillas de seguridad para configurar distintos parámetros en la directiva de grupo local. |
| • | Utilizar secedit.exe para importar y aplicar plantillas de seguridad. |
| • | Utilizar las secuencias de comandos automatizadas proporcionadas para aplicar plantillas de seguridad. |
Marco de aplicación
Este módulo se aplica a los siguientes productos y tecnologías:
| • | Clientes Windows XP Professional Service Pack (SP) 1 en un dominio Windows NT 4.0, donde los controladores de dominio de Windows NT 4.0 tienen instalado SP 6.0a |
| • | Clientes Windows XP Professional SP1 independientes |
Uso del módulo
En este módulo se analiza cómo aplicar y administrar con mayor eficacia la configuración recomendada en los módulos anteriores de esta guía a clientes Windows XP SP1 que no pertenecen a un dominio Active Directory.
Para sacar el máximo provecho de este módulo:
| • | Lea el módulo "Introducción a la Guía de seguridad de Windows XP". En él se definen los entornos de cliente de empresa y de nivel de seguridad alto a los que se hace referencia en el módulo actual. |
| • | Lea el módulo "Configuración de la infraestructura de dominios de Active Directory". Describe la forma de administrar las plantillas administrativas. |
| • | Lea el módulo "Configuración de seguridad para clientes Windows XP". Le proporcionará un conocimiento global de la configuración que se aplica. |
| • | Utilice la lista de comprobación. El documento "Lista de comprobación: Seguridad de clientes Windows XP independientes" proporciona un elemento de ayuda que se puede imprimir y consultar como referencia rápida. Emplee la lista de comprobación basada en tareas para evaluar el alcance de los pasos necesarios y como ayuda en la realización de cada uno de ellos. |
| • | Utilice las plantillas de seguridad que se pueden descargar. En ellas se muestra cómo aplicar todas las configuraciones tratadas en este módulo. |
| • | Utilice las secuencias de comandos automatizadas que se pueden descargar. Ofrecen ejemplos de las diferentes formas de aplicar las mismas configuraciones a varios clientes Windows XP Professional. |
Windows XP en un dominio Windows NT 4.0
Un ejemplo específico de un cliente Windows XP en un entorno de dominio que no sea Active Directory sería un dominio Windows NT® 4.0 heredado. En este entorno, los clientes Windows XP se tratan como equipos independientes. La carga de administración en este entorno es superior, ya que no existe una ubicación central para administrar la configuración de seguridad. Se recomienda que los controladores de dominio basados en Windows NT 4.0 se instalen con Service Pack 6a (SP6a) y las revisiones más actualizadas. Windows NT 4.0 SP6a contiene varias correcciones para la autenticación en NT LanManager (NTLM). Sin estas correcciones, los equipos basados en Windows XP en un dominio Windows NT 4.0 podrían experimentar problemas de comunicación y de conectividad de red o dominio. El administrador debería comprobar con frecuencia la existencia de nuevas actualizaciones y revisiones.
Windows XP Professional agrega más configuraciones a Directiva de equipo local que las versiones anteriores de Windows, una ventaja que permite personalizar mejor la configuración del equipo y del usuario. Windows XP Professional ofrece cientos de nuevos parámetros de configuración, además de los que ya estaban disponibles para Windows 2000 Professional. Esta eficaz característica de administración permite bloquear y personalizar el Escritorio, introduciendo la posibilidad de disfrutar de un gran número de escenarios. Los clientes Windows XP serán tan seguros como el dominio al que pertenezcan. Los clientes Windows XP de un entorno heredado utilizan una versión modificada de las plantillas de seguridad del módulo "Configuración de seguridad para clientes Windows XP" para garantizar que el cliente se puede comunicar con los controladores de dominio de Windows NT 4.0. Estas configuraciones se aplican mediante las secuencias de comandos que se citan al final de esta guía.
Para comunicarse con un controlador de dominio de Windows NT 4.0, es necesario modificar la siguiente configuración: En Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad:
Miembro de dominio: requerir clave de sesión protegida (Windows 2000 o más reciente) - Deshabilitado
Los archivos de información heredada que se utilizan al final de esta guía tienen este parámetro preconfigurado.
Configuración del objeto de directiva de grupo local
Cada sistema operativo Windows XP Professional dispone de un objeto de directiva de grupo local (LGPO). La configuración se aplica a este objeto de forma manual mediante Editor de objetos de directiva de grupo o utilizando secuencias de comandos. Los objetos de directiva de grupo local contienen menos parámetros que los GPO basados en dominios, especialmente los que se encuentran en Configuración de seguridad. Los LGPO no admiten las características Redireccionamiento de carpetas, Servicio de instalación remota o Group Policy Software Installation cuando se han configurado como clientes independientes. La directiva local se puede utilizar para proporcionar un entorno operativo seguro en clientes independientes.
En la siguiente tabla se muestran las extensiones de complemento de Directiva de grupo que se abren cuando este complemento se centra en un LGPO.
Tabla 1. Extensiones de complemento de Directiva de grupo
| Extensión de complemento de Directiva de grupo | Disponible en LGPO |
Software Installation | No |
Secuencias de comandos | Sí |
Configuración de seguridad | Sí |
Plantillas administrativas | Sí |
Redireccionamiento de carpetas | No |
Mantenimiento de Internet Explorer | Sí |
Servicios de instalación remota | No |
Directivas de cuentas
Entre las directivas de cuentas se incluyen las configuraciones Directiva de contraseñas, Directiva de bloqueo de cuentas y Directiva Kerberos. La directiva de contraseñas constituye un mecanismo para incorporar requisitos de complejidad y frecuentes cambios a las contraseñas para garantizar la seguridad de la mayoría de los entornos. La directiva de bloqueo de cuentas permite realizar un seguimiento de los intentos sin éxito de inicio de sesión en el entorno. Dicha información ayuda a iniciar bloqueos de cuentas si es necesario. Las directivas Kerberos se utilizan para cuentas de usuario de dominio. Determinan configuraciones relacionadas con Kerberos, como Vigencia máxima del vale de servicio y Forzar restricciones de inicio de sesión de usuario. Sin embargo, esta configuración no se utiliza con clientes independientes, ya que no forman parte de ningún dominio.
Normalmente, las directivas de cuentas se establecen a nivel de dominio y por lo tanto se configuran para clientes de dominio. En el caso de clientes XP independientes, esta configuración se debe aplicar localmente, junto con las indicaciones de configuración descritas en el módulo "Configuración de la infraestructura de dominios de Active Directory".
Directivas locales
Las directivas locales, en Configuración del equipo\Configuración de Windows\Configuración de seguridad, se aplicarán al cliente mediante las plantillas que se describen en el módulo "Configuración de seguridad para clientes Windows XP" en esta guía. Mediante una combinación de estas plantillas y de las que se han creado para los clientes independientes, las directivas se pueden automatizar a través de secuencias de comandos y aplicarse a varios equipos del entorno. En la siguiente sección se describe el proceso de creación e implementación de las directivas.
Importación de plantillas de seguridad a Windows XP
Son varias las plantillas disponibles para configurar el cliente independiente a través de una secuencia de comandos, y su uso depende de los requisitos de seguridad del cliente. Anteriormente hemos tratado las configuraciones y la forma en la que se utiliza Editor de objetos de directiva de grupo para configurar la directiva local. Con las plantillas proporcionadas, el proceso se puede automatizar y permitir la configuración de un gran número de clientes en un entorno independiente o conectado en red. En esta sección se explicará el proceso de automatización de la configuración de las directivas de seguridad.
Configuración
Una plantilla de seguridad es un archivo que representa una configuración de seguridad. Las plantillas de seguridad se pueden aplicar a un equipo local, importándolas al objeto de directiva de grupo local. Dado que las plantillas ya se han creado en el módulo "Configuración de seguridad para clientes Windows XP", éstas se emplearán para configurar las directivas locales. El administrador utilizará los complementos Configuración y análisis de seguridad y Plantillas de seguridad de Microsoft Management Console (MMC), así como secedit.exe, para crear las directivas de cuentas y combinar ambos componentes para establecer las directivas en el equipo independiente.
Creación de una base de datos de seguridad
Para automatizar el proceso de importación de la configuración de seguridad en un cliente independiente, deberá crear una base de datos de referencia para escribir la directiva de seguridad local. La base de datos de línea de base se creó utilizando el complemento Configuración y análisis de seguridad de MMC. Se siguieron los pasos que se indican a continuación para crear la base de datos XP Default Security.sdb. En esta base de datos se utilizó setup security.inf como plantilla para establecer la configuración predeterminada para el cliente independiente.
| • | Para crear una nueva base de datos de seguridad predeterminada
|
Este proceso crea un archivo de base de datos con la configuración de seguridad predeterminada que se utilizará en el proceso de automatización. Copie la base de datos de seguridad en la misma carpeta en la que haya copiado las secuencias de comandos y los archivos de información. Las secuencias de comandos personalizadas que se van a utilizar configurarán la base de datos que establecerá, a su vez, la directiva de seguridad local. El administrador puede seguir un procedimiento similar para crear una base de datos propia en lugar de utilizar la que se proporciona con esta guía.
Creación de una plantilla personalizada
Las plantillas de la herramienta de administración Plantilla de seguridad definen la configuración de seguridad. Estas plantillas se pueden aplicar al equipo local. A continuación se indican los pasos que se siguieron para crear las plantillas SA Enterprise XP Account.inf y SA High Security XP Account.inf utilizando las configuraciones de las tablas de directivas de cuentas del módulo "Configuración de la infraestructura de dominios de Active Directory".
| • | Para crear una plantilla personalizada
|
Una vez se han creado los archivos, podrá encontrarlos en %windir%\security\templates. Copie las plantillas de seguridad en la misma carpeta en la que ha creado la base de datos de seguridad para ejecutar las secuencias de comandos. Estos archivos se utilizarán en la siguiente fase para automatizar la importación de las plantillas.
Aplicación de la directiva
Puede llamar a la herramienta secedit.exe en un símbolo del sistema desde un archivo por lotes o un programador de tareas automático y utilizarla para crear y aplicar las plantillas de forma automática. También puede ejecutarla de forma dinámica desde un símbolo del sistema. La herramienta secedit.exe resulta de gran utilidad cuando se dispone de varios equipos en los que se debe configurar la seguridad. Las secuencias de comandos proporcionadas en esta guía emplean la utilidad secedit.exe para combinar y aplicar la directiva local al cliente.
Aplicación manual de la directiva local
Para aplicar todas las configuraciones de seguridad incluidas en el archivo .inf de la plantilla de seguridad independiente de esta guía, se debe utilizar el complemento Configuración y análisis de seguridad en lugar del complemento Directiva de equipo local. No se puede importar la plantilla de seguridad con Directiva de equipo local, ya que la configuración de seguridad de Servicios del sistema no se puede aplicar utilizando este complemento.
Los siguientes procedimientos detallan el proceso de importación y aplicación de la plantilla de seguridad utilizando Configuración y análisis de seguridad.
| • | Para importar una plantilla de seguridad
|
Se importarán todas las configuraciones de la plantilla de seguridad, que podrán revisarse o aplicarse a partir de ese momento.
| • | Para aplicar la configuración de seguridad
|
Deberá importar ambas plantillas para cada entorno. Se aplicarán todas las configuraciones de plantilla de seguridad que correspondan a la directiva local del cliente. En las siguientes secciones se describe la configuración de seguridad aplicada mediante la directiva local.
Secedit
Configura y analiza la seguridad del sistema comparando la configuración actual con al menos una plantilla.
Sintaxis
secedit /configure /db nombre_de_archivo [/cfg nombre_de_archivo ] [/overwrite][/areas área1 área2 ...] [/log nombre_de_archivo] [/quiet]
Parámetros
/db nombre_de_archivo
Especifica la base de datos utilizada para realizar la configuración de seguridad.
/cfg nombre_de_archivo
Especifica la plantilla de seguridad que se va a importar a la base de datos antes de configurar el equipo. Las plantillas de seguridad se crean utilizando el complemento Plantillas de seguridad.
/overwrite
Especifica que se debería vaciar la base de datos antes de importar la plantilla de seguridad. Si no se especifica este parámetro, las configuraciones de la plantilla de seguridad se acumulan en la base de datos. Si no se especifica este parámetro y hay configuraciones contradictorias entre la base de datos y la plantilla que se va a importar, prevalecerá la configuración de la plantilla.
/areas área1 área2
Especifica las áreas de seguridad que se van a aplicar al sistema. Si no se especifica este parámetro, se aplicarán al sistema todas las configuraciones de seguridad definidas en la base de datos. Para configurar varias áreas, separe cada área con un espacio. En la tabla siguiente se muestran las áreas de seguridad que se admiten.
Tabla 2. Áreas de seguridad
| Nombre de área | Descripción |
SECURITYPOLICY | Incluye directivas de cuentas, directivas de auditoría, configuraciones de registro de sucesos y opciones de seguridad. |
GROUP_MGMT | Incluye la configuración de grupo restringido. |
USER_RIGHTS | Incluye la asignación de derechos de usuario |
REGKEYS | Incluye permisos de registro. |
FILESTORE | Incluye permisos del sistema de archivos. |
SERVICES | Incluye configuraciones de servicio del sistema. |
/log nombre_de_archivo
Especifica un archivo que se utiliza para registrar el estado del proceso de configuración. Si no se especifica, los datos de configuración se registran en el archivo scesrv.log, ubicado dentro del directorio %windir%\security\logs.
/quiet
Especifica que el proceso de configuración debería realizarse sin avisar al usuario.
Secuencias de comandos automatizadas
Siempre resulta más fácil utilizar secuencias de comandos para aplicar la misma configuración a un gran número de clientes. La herramienta secedit descrita anteriormente permite realizar el proceso de forma automática y aplicar la directiva local con una sencilla secuencia de comandos. Copie las secuencias de comandos y los archivos asociados en un subdirectorio de la unidad de disco duro local y ejecute la secuencia de comandos del cliente desde el directorio.
A continuación se muestra una de las secuencias de comandos utilizada para importar plantillas al objeto de directiva de grupo local. Hay un total de cuatro secuencias de comandos que cubren cada uno de los clientes. La del ejemplo se utiliza en la seguridad de los clientes Windows XP independientes.
REM (c) Microsoft Corporation 1997-2003
REM Script for Securing Stand Alone Windows XP
REM
REM Name: SA Enterprise XP Client - Desktop.CMD
REM Version: 1.0
REM This CMD file provides the proper secedit.exe syntax for importing the security
REM policy for the Secure Stand Alone Windows XP Client.
REM Please read the entire guide before using this CMD file.
REM Resets the Policy to Default Values
Secedit.exe /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
REM Sets the Account Settings
secedit.exe /configure /db "XP Default Security.sdb" /cfg
"SA Enterprise XP Account.inf" /overwrite /quiet
REM Sets the Security Settings
secedit.exe /configure /db "XP Default Security.sdb"
/cfg "Enterprise Client - Desktop.inf"
REM Deletes the Shared Folder
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\
NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}" /f
REM Updates the Local Policy
gpupdate.exe /force
En la siguiente tabla se incluye una lista de las secuencias de comandos y los archivos asociados suministrados con esta guía. Existe un conjunto de ellos para cada entorno, que cubre los clientes de escritorio y de equipos portátiles.
Tabla 3. Archivos y secuencias de comandos
| Archivos y secuencias de comandos independientes | Descripción |
SA Enterprise XP Client - Desktop.cmd | Secuencia de comandos independiente para establecer la directiva de empresa en el cliente de escritorio. |
SA Enterprise XP Client - Laptop.cmd | Secuencia de comandos independiente para establecer la directiva de empresa en el cliente de equipo portátil. |
SA XP High Security Client - Desktop.cmd | Secuencia de comandos independiente para establecer la directiva de nivel de seguridad alto en el cliente de escritorio. |
SA XP High Security Client - Laptop.cmd | Secuencia de comandos independiente para establecer la directiva de nivel de seguridad alto en el cliente de equipo portátil. |
SA Enterprise Account.inf | Plantilla de directiva de cuentas de empresa. |
SA High Security Account.inf | Plantilla de directiva de cuentas de nivel de seguridad alto. |
Enterprise Client - Desktop.inf | Plantilla de seguridad de empresa para el cliente de escritorio. |
Enterprise Client - Laptop.inf | Plantilla de seguridad de empresa para el cliente de equipo portátil. |
High Security - Desktop.inf | Plantilla de nivel de seguridad alto para el cliente de escritorio. |
High Security - Laptop.inf | Plantilla de nivel de seguridad alto para el cliente de equipo portátil. |
XP Default Security.sdb | Base de datos de directiva predeterminada. |
Legacy Enterprise XP Client - Desktop.cmd | Secuencia de comandos heredados para establecer la directiva de empresa en el cliente de escritorio. |
Legacy Enterprise XP Client - Laptop.cmd | Secuencia de comandos heredados para establecer la directiva de empresa en el cliente de equipo portátil. |
Legacy XP High Security Client - Desktop.cmd | Secuencia de comandos heredados para establecer la directiva de nivel de seguridad alto en el cliente de escritorio. |
Legacy XP High Security Client - Laptop.cmd | Secuencia de comandos heredados para establecer la directiva de nivel de seguridad alto en el cliente de equipo portátil. |
Legacy Enterprise Account.inf | Plantilla de directiva de cuentas de empresa heredada. |
Legacy High Security Account.inf | Plantilla de directiva de cuentas de nivel de seguridad alto heredada. |
Legacy Enterprise Client - Desktop.inf | Plantilla de seguridad de empresa heredada para el cliente de escritorio. |
Legacy Enterprise Client - Laptop.inf | Plantilla de seguridad de empresa heredada para el cliente de equipo portátil. |
Legacy High Security - Desktop.inf | Plantilla de nivel de seguridad alto heredada para el cliente de escritorio. |
Legacy High Security - Laptop.inf | Plantilla de nivel de seguridad alto heredada para el cliente de equipo portátil. |
XP Default Security.sdb | Base de datos de directiva predeterminada. |
Resumen
La directiva local de Windows XP ofrece un mecanismo muy útil para establecer una configuración de seguridad coherente en el sistema operativo Windows XP. Para implementarla de forma eficaz, asegúrese de que conoce el proceso de aplicación y compruebe que todos los clientes se han configurado con los parámetros correctos y que ha definido un nivel de seguridad adecuado para cada cliente del entorno.
Información adicional
Las siguientes fuentes de información corresponden al material más actualizado disponible sobre los temas relacionados con la seguridad de Windows XP Professional en el momento en que publicó esta guía.
Para obtener más información sobre Security Configuration Manager, consulte: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/entserver/scm_analyze.asp.
Para obtener más información sobre Directiva de grupo, consulte: http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp.
Para obtener más información sobre la solución de problemas de Directiva de grupo en Windows 2000, consulte: http://www.microsoft.com/Windows2000/techinfo/howitworks/management/gptshoot.asp.
Para obtener más información sobre la solución de problemas relacionados con las directivas de grupo en las aplicaciones, consulte el artículo 250842 de Knowledge Base, "Solucionar Problemas de Directiva de grupo en Aplicaciones" en: http://support.microsoft.com/default.aspx?scid=250842.
Para obtener más información sobre las listas de comprobación y las herramientas de seguridad, consulte: http://www.microsoft.com/spain/technet/seguridad/herramientas/herramientas.asp.
Para obtener más información sobre la seguridad de equipos portátiles con Windows XP Professional, consulte: http://www.microsoft.com/spain/technet/recursos/articulos/welcome3.asp?opcion=2017.
Para obtener más información sobre cómo identificar objetos de directivas de grupo (GPO) en Active Directory y SYSVOL, consulte el artículo 216359 de Knowledge Base, "CÓMO: Identificar objetos de directiva de grupo en Active Directory y SYSVOL" en: http://support.microsoft.com/default.aspx?scid=216359.
Para obtener más información sobre la plantilla administrativa para Windows XP, consulte la guía de TechNet, "The role of Administrative Templates", en http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/adminad.mspx.